Login wie sicher
- Themenstarter saila
- Beginndatum
Sven Mintel
Mitglied
Naja... sicher ist er überhaupt nicht.
Vorraussgesetzt, so ein Forum hat eine Sperre beim wiederholten eingeben falscher passwörter, dann kann selbst meine mutti ein normales PW knacken.
Ist nur eine Frage der Zeit...ich schätze, es dürfte ein paar Jahrtausende dauern
Ohne Sperre dürften es immer noch Jahrzehnte sein.
Ne...im Ernst, das Problem ist nicht, dass jemand einen String findet, der auf den Hash passt, sondern eher schlechte Passwörter.
Vorraussgesetzt, so ein Forum hat eine Sperre beim wiederholten eingeben falscher passwörter, dann kann selbst meine mutti ein normales PW knacken.
Ist nur eine Frage der Zeit...ich schätze, es dürfte ein paar Jahrtausende dauern
Ohne Sperre dürften es immer noch Jahrzehnte sein.
Ne...im Ernst, das Problem ist nicht, dass jemand einen String findet, der auf den Hash passt, sondern eher schlechte Passwörter.
Was meinst du damit?Welches Konsortium?
Ich weis ja nicht von welchem Konsortium du sprichst aber, MD5 Algo ist verfügbar und sogar auf der http://de.wikipedia.org/wiki/MD5#Algorithmus zufinden.
Und nochmal MD5 sichert rein garnichts ab, lediglich Personen mit Zugriff auf die Datenbank sehen so die Passwörter nicht im Klartext sondern als Hash.
Eine "Verschlüsselung" findet dabei auf keiner der beiden Seiten statt, da du das Passwort ja im Klartext an den Server schickst und idR erst dort Hashst und vergleichst!
Hoffe das reicht als Erklärung.
MfG Nomad
Edit: zu langsam
zusatz Info RFC1321 : http://www.ietf.org/rfc/rfc1321.txt
Und nochmal MD5 sichert rein garnichts ab, lediglich Personen mit Zugriff auf die Datenbank sehen so die Passwörter nicht im Klartext sondern als Hash.
Eine "Verschlüsselung" findet dabei auf keiner der beiden Seiten statt, da du das Passwort ja im Klartext an den Server schickst und idR erst dort Hashst und vergleichst!
Hoffe das reicht als Erklärung.
MfG Nomad
Edit: zu langsam
zusatz Info RFC1321 : http://www.ietf.org/rfc/rfc1321.txt
Zuletzt bearbeitet:
Neurodeamon
Erfahrenes Mitglied
saila hat gesagt.:
Nur zum besseren Verständnis:
Bei solchen Systemen die mit Passwort-Hashes arbeiten wird das Passwort nicht im Klartext gespeichert, sondern eben als »Hash«: ein Hash ist eine Zeichenfolge die mathematisch berechnet wird (theoretisch hat jede Eingabe einen anderen Hashwert, und unter bestimmten Voraussetzungen kann es Kollisionen geben, also es gibt einen Hashwert, der bei zwei unterschiedlichen Eingaben gleich ist - das und auch nur das wurde bisher erreicht). Der Hash für jede Eingabe ist eindeutig und einzigartig -> so etwas wie ein Fingerabdruck.
Beispiel:
Passwort = MD5-Hash
Pillepalle = 50abefcf6f1313627e80776997d1813a
PillepallE = 1bf38af519c10f57271e9ab38e581044
ellapelliP = 67f1c0a2028c76b5d3e4dbd4581da6ad
In der Datenbank werden nur die Hashes gespeichert, diese kann man NICHT entschlüsseln, da sie - einfach ausgedrückt - so etwas wie eine Quersumme der Eingabe sind. Quersumme der Zahl 485 ist 17, kannst Du aus der 17 auf die Zahl 485 schließen? Nicht so einfach, denn andere Zahlen ergeben als Quersumme ebenfalls 17. Beim MD5 ist das ganze sehr (sehr, sehr, sehr) viel komplizierter
Das Loginsystem macht nichts anderes als: Passwort das vom Benutzer angegeben wurde mit MD5 zu verschlüsseln und den Hash der Passworteingabe mit dem Hash in der Datenbank zu vergleichen.
Selbst wenn also ein »Hacker« die ganze Datenbank mit den MD5-Passwort-Hashes in die Finger bekommt, wird er nur ausprobieren können ob ein Wort, welches er eingibt, mit einem MD5 hash übereinstimmt. Wenn er dazu noch probiert einen ganz bestimmten Hash zu knacken, wird er lange, lange Jahrzehnte daran sitzen. Die einzige Hoffnung die der Hacker hat ist ein einfaches Passwort, welches z. B. in einem Wörterbuch vorkommt (z. B. das äußerst dämlich gewählte Passwort »passwort« ;-)
Christian Fein
Erfahrenes Mitglied
Neurodeamon hat gesagt.:
nicht gaaaaaaaaaaaaanz
Hi,
die Frage stellte sich mir in Bezug auf ein Projekt.
Das ein Passwort im Reintext zumindest vor der Verschlüsselung per SSL übergeben wird ist das eine, dass dann das Passwort per md5() in die Datenbank abgelegt wird das ergänzende. Ich halte auch nichts davon, Passwörter per md5 Hash als Cookie oder in Sessions abzulegen. Das ist alles logisch.
Warum ich nachgefragt habe:
Gibt es die Funktion, md5 Schlüssel zu entschlüsseln?
Zumindest hatte ich Ende oder Mitte vergangenes Jahr davon gehört. eigentl. sollte zum damaligen Zeitpunkt mit PHP5 encode für md5() freigegeben werden. Anscheindend ist das nicht geschehen oder?
die Frage stellte sich mir in Bezug auf ein Projekt.
Das ein Passwort im Reintext zumindest vor der Verschlüsselung per SSL übergeben wird ist das eine, dass dann das Passwort per md5() in die Datenbank abgelegt wird das ergänzende. Ich halte auch nichts davon, Passwörter per md5 Hash als Cookie oder in Sessions abzulegen. Das ist alles logisch.
Warum ich nachgefragt habe:
Gibt es die Funktion, md5 Schlüssel zu entschlüsseln?
Zumindest hatte ich Ende oder Mitte vergangenes Jahr davon gehört. eigentl. sollte zum damaligen Zeitpunkt mit PHP5 encode für md5() freigegeben werden. Anscheindend ist das nicht geschehen oder?
Sven Mintel
Mitglied
saila hat gesagt.:
Bei MD5 gibts nichts zu entschlüsseln, weil nichts verschlüsselt wird.
MD5 ist gewissermassen eine Prüfsumme für einen String... sie ist auch nicht eindeutig, da ein einziger Hash zu unendlich vielen Strings passt.
Mal so ausgedrückt: der Hash von "blubb" ist möglicherweise derselbe wie der vom kompletten Bibeltext(habs grad nicht getestet
)Darin besteht die Angriffsstelle...ein Feind muss nicht das Passwort finden, sondern irgendetwas, was den selben md5-Hash liefert wie das Passwort.
